¿Qué diferencia hay entre Spoofing y Phishing?

Me encanta hablar sobre la seguridad informática e incluso a veces enseñar a chavales para prepararlos para que intenten ir a CyberCamp y siempre los conceptos de Spoofing y Phishing son los que más lió suelen causar. Así que voy a intentar aclararlo.

· Phishing: Son correos en masa que se mandan con la intención de que el usuario crea que está hablando con una entidad de confianza (bancos, eléctricas, telcos etc.) y facilite sus credenciales o datos sensibles para aprovecharse de estos y sacar rédito económico.

· Spoofing: Son técnicas que utiliza un atacante para suplantar a una entidad a través de la falsificación de los datos en una comunicación.

A priori son muy parecidas pero no lo son por ejemplo podemos hacer un correo de Phishing de support@gooogle.com en el que nos soliciten nuestras credenciales. (Caso de Phishing)

Pero otra cosa muy diferente sería que nos llegara un mail de support@google.com en el cual nos soliciten nuestras credenciales aunque el dominio parece legítimo no es así pues no viene de la IP de los servidores de Google y además nos solicitan las credenciales (Spoofing + Phishing)

Es decir en el Spoofing suplantamos a la entidad y en el Phishing intentamos que el usuario crea por técnicas de ing. Social que somos esa entidad.

A Hackear Siempre!

Comentarios

Entradas populares de este blog

WriteUp Reto 12+1 del CTF #H4F

Los chicos de “Η ａ ϲ ｋ е ｒｓ４ Ϝ ｕｎ ᏟᎢ Ｆ Τе ａ ⅿ p ropusieron un CTF/reto, al que voy a dar la versión de cómo lo resolví a esto se le llama Write Up. Para lo que no sepáis lo que es un CTF son una serie de desafíos informáticos enfocados a la seguridad . Manos a la obra enunciado Descargamos desde el enlace el archivo. https://drive.google.com/file/d/1f0P_c6xwdt5a0Rg1fXRbEFzVjVDppY3d/view Nos encontraremos un archivo comprimido que contiene una imagen que si inspeccionamos más a fondo descubriremos que dentro de ella hay un .zip Así pues cambiamos la extensión a .zip para ver su contenido, dentro de este zip nos encontramos otro archivo .zip el cual se llama output.zip y está dañado por lo que debemos repararlo , por ejemplo yo lo hice con la propia herramienta que trae winRaR. Después de repararlo encontramos tres archivos, hay 2 .wav (estos con contraseña) y 1 txt. El txt se llama pas...

¿Cómo reportar una Vulnerabilidad Y No Acabar Picando Piedra?

Has encontrado una vulnerabilidad y quieres reportarla, pues debes saber que no es un proceso sencillo ya que pueden pasarte las siguientes cosas: Que lo reportes y ni te contesten. Que lo reportes, te contesten dándote las gracias y ni lo arreglen. Que lo reportes, se cabreen y acabes demandado por la empresa, solo por querer ayudarles a mejorar su seguridad. Que lo reportes, te contesten y lo solucionen (No suele ser la más común) Así que aquí van unos consejos para que consigas reportar la vulnerabilidad de forma efectiva y no acabes mal parado: 1º Comprueba si tienen un sistema de bug bounty : Son programas en los que se premian (económicos, Hall of fame ...

Montando un IDS en clase (suricata)

Hace unos días, mi profesor me pidió que explicara que era motorizar una red y decidí darle una vuelta de tuerca más. Así que decidí comentarle si podía instalar Suricata que como muchos conoceréis es un IDS. Tras la instalación de este decidí ponerlo en funcionamiento durante varios días. Puesto que tenia que sacar una video-demo, tras muchos días y crear alguna regla para que saltara alguna alarma para poder enseñar que podía catalogar cualquier tipo de trafico para su posterior alarma. En concreto use esta: " alert icmp any any -> any any (msg: "ICMP detected";)" Tras varios días de normalidad, grabar mi video-demo y tener la presentación del proyecto para presentarla en 5 minutos decido encender mi maquina con Suricata y hacer tail -f al log . Cuando quedan 2 minutos para la presentación, empiezo a ver trafico algo sospechoso hasta finalmente Suricata me confirma que había alguien en mi clase util...

ciberseguinfo

Buscar este blog